El phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima., para estafar y obtener información confidencial.

El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.

Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

A mediados de enero nos despertamos con una noticia impactante: se acababa de descubrir uno de los incidentes de ciberseguridad más importantes de la historia. El llamado # Collection1 expuso más de 73 millones de correos electrónicos y 20 millones de contraseñas en una página web de hackers. En un contexto donde este tipo de sucesos son cada vez más frecuentes y de mayor alcance, conviene poner de relieve los principales riesgos jurídicos que las organizaciones deben afrontar.

Es un hecho que pymes y los autónomos están integrándose, a veces a la fuerza, en una sociedad que cada vez usa más intensamente las nuevas tecnologías. Los clientes se mueven por la red desde todo tipo de dispositivos y aplicaciones. Son también activos: nos informan sobre sus gustos e intereses, compran y venden en internet, y utilizan las redes para transmitir sus opiniones y quejas.

La prueba electrónica o digital es toda información con valor probatorio contenida en un medio electrónico o transmitida por dicho medio. El papel y otros elementos tangibles no son las únicas pruebas admitidas en los tribunales. Por ejemplo, la prueba electrónica es un ejemplo de este cambio. La nueva era digital ha cambiado sustancialmente nuestra manera de comunicarnos. Esto ha afectado en el formato de la información probatoria que se presenta durante un proceso civil, penal, laboral o administrativo.

Como la precisión de una prueba, incluida la digital, es responsable del demandante siempre que impugne la evidencia digital, al menos se le puede solicitar a la otra parte que garantice fecha cierta e integridad. Por supuesto, estos no son los únicos aspectos clave de una prueba digital, pero nos centraremos en esta publicación.

Es indudable que Internet proporciona muchísimas ventajas y oportunidades, sin embargo, no es oro todo lo que reluce, y es que en ocasiones nos podemos encontrar con situaciones no esperadas, en las que por ejemplo, podemos acabar siendo víctimas de algún fraude online. El “supuesto” anonimato que proporciona Internet y la capacidad de realizar una acción desde cualquier lugar del mundo, facilita que en ciertas situaciones, se convierta en lugar perfecto para poner en circulación fraudes. La mejor línea de defensa ante este tipo de situaciones, es conocer la forma de actuar de los ciberdelincuentes para ponerles freno y evitar así caer en sus redes. El fraude en Internet se basa en la utilización maliciosa de tres elementos sobre los que se construye el engaño. La presencia de estos elementos varía según el tipo de fraude y son utilizados de manera complementaria. Por este motivo, a continuación listaremos los fraudes más comunes.

La seguridad en dispositivos móviles se ha convertido en un asunto muy importante debido al incremento de "ataques" recibidos y a las consecuencias que estos tienen. Los ataques vienen incentivados por la popularización de los dispositivos móviles, el aumento de información personal y confidencial que almacenan y las operaciones realizadas a través de ellos, como por ejemplo las bancarias.

Los dispositivos móviles están formados por un conjunto de componentes capaces de soportar una gran variedad de tecnologías inalámbricas (GSM, UMTS, Wifi, Bluetooth, etc.), donde destaca uno o varios procesadores de altas prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran número de aplicaciones que requieren una gran capacidad de cálculo. Todo ello incrementa significativamente las distintas vulnerabilidades a las que están expuestos este tipo de dispositivos.

En respuesta a las crecientes problemáticas, la gestión de riesgos de TI ha sufrido muchos cambios durante los últimos años. Sin embargo, más recientemente, la habilidad para definir y comunicar el marco de los riesgos de TI ha tomado mucha más relevancia. La disciplina de gestión de riesgos de TI se enmarca no solo dentro de los requerimientos regulatorios, sino también dentro de los de negocio. Un profesional de la gestión del riesgo TI debe ser especialista en tecnología y sistemas de gestión de seguridad de la información, y también tener un amplio conocimiento del negocio de la empresa en la que desarrolla su actividad.

Auditoría interna y gestión de riesgos en ISO 31000 son dos conceptos que van de la mano. La auditoría interna debe evaluar y contribuir a la gestión de riesgos, aportando así a la mejora de los procesos de control, utilizando un enfoque sistemático y disciplinado.

En todos los aspectos de nuestra actividad diaria necesitamos seguridad en las diversas actividades que acometemos, en un traslado o viaje en coche, bus, tren, avión, en nuestro hogar al usar la electricidad, gas, agua, al cortar alimentos para cocinar, al cruzar la vía pública, en el uso de nuestra bicicleta, patinete o skate. En resumen, practicamos la seguridad habitualmente.

La seguridad en internet son todas aquellas precauciones que se toman para proteger todos los elementos que hacen parte de la red como infraestructura e información, la más afectada por delincuentes cibernéticos. En The Valley Digital Business School han desarrollado 10 puntos clave para garantizar la ciberseguridad en red que desde el Gabinete de Peritos Judiciales queremos transmitir.

Los delitos informáticos y el robo de información son un problema importante que puede afectar a cualquier organización. Para intentar sofocar este problema existe la disciplina de seguridad informática, la cual puede ser dividida en dos: Seguridad física y seguridad lógica.

Blindar nuestros datos con una correcta seguridad física de instalaciones y en la Red, es fundamental, pues la información que se tiene en el interior y en el exterior de una organización se expone a diferentes riesgos que tienen un impacto variable en los atributos de seguridad de la información, tales como: confidencialidad, integridad y disponibilidad.

El enfoque y preocupación está en comprender los tipos de riesgos para cada sector del mercado, así como medir el impacto que estas amenazas de riesgos puedan tener sobre la seguridad de la información.

Las normas de sistemas de gestión, especialmente las que se encuentran relacionadas con la seguridad de la información y las interrupciones de los procesos de negocio, utilizan el término “gestión de incidencias”.

A medida que la norma que gestiona la seguridad de la información ocupa diferentes aspectos de la gestión de procesos de negocio, el término se utiliza de una forma amplia, pero posee un significado diferente, dependiendo del contexto. Además de eso, muchas de las normas utilizan el término evento. Debemos recordar que no todos los incidentes en la gestión de servicios de TI se encuentran relacionados con la seguridad. Por ejemplo, se puede generar una pérdida de capacidad de impresión ante un incidente, pero no puede estar relacionada con los problemas de seguridad.

La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Un ejército victorioso gana primero y entabla la batalla después; un ejército derrotado lucha primero e intenta obtener la victoria después. Esta es la diferencia entre los que tienen estrategia y los que no tienen planes premeditados.”  El arte de la guerra Sun Tzu, 2.000 a.C.

Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra organización debemos empezar a pensar en poner en práctica un Plan Director de Seguridad. Pero antes de nada, definiremos cada concepto.